o AI Platform Pipelines facilitam o uso dos pipelines do Kubeflow com o TensorFlow Extended no Google Kubernetes Engine, evitando que você:
- crie um cluster do GKE;
- implante pipelines do Kubeflow no cluster do GKE;
- crie um intervalo do Cloud Storage para armazenar artefatos de pipeline.
Se preferir, é possível usar o AI Platform Pipelines para implantar pipelines do Kubeflow em um cluster existente que ainda não tem pipelines do Kubeflow instalados. Use este guia para garantir que o cluster seja configurado corretamente para implantar e executar pipelines do Kubeflow.
Verifique se o cluster do GKE tem recursos suficientes para os pipelines da IA Platform
Para usar o Google Cloud Marketplace na implantação de pipelines do Kubeflow em um cluster do GKE, os critérios a seguir precisam ser atendidos:
- Seu cluster precisa ter pelo menos três nós. Cada nó precisa ter pelo menos duas CPUs e quatro GB de memória disponíveis.
- O escopo de acesso do cluster precisa conceder acesso total a todas as APIs do Cloud ou o cluster precisa usar uma conta de serviço personalizada.
- O cluster ainda não pode ter pipelines do Kubeflow instalados.
Use as instruções a seguir para verificar se o cluster tem recursos suficientes para instalar o AI Platform Pipelines.
Abra o AI Platform Pipelines no console do Google Cloud .
Na barra de ferramentas dos AI Platform Pipelines, clique em Nova instância. Os pipelines do Kubeflow serão abertos no Google Cloud Marketplace.
Clique em Configurar. O formulário Implantar pipelines do Kuberflow (em inglês) será aberto.
Clique em Cluster para expandir a lista. Os clusters do GKE que não têm recursos ou permissões suficientes são listados como Clusters não qualificados. Cada cluster não qualificado inclui uma descrição do motivo pelo qual os pipelines do Kubeflow não podem ser instalados, como:
- O cluster não cabe no aplicativo: o cluster não tem recursos suficientes disponíveis para instalar os pipelines do Kubeflow. Aloque mais recursos para o cluster.
- Escopo insuficiente do OAuth:o cluster não tem acesso suficiente aos recursos e APIs do Google Cloud para instalar os pipelines do Kubeflow. Conceda mais permissões ao cluster.
Alocar mais recursos ao cluster do GKE
Para instalar pipelines do Kubeflow do Google Cloud Marketplace em um cluster existente do GKE, o cluster precisa ter pelo menos três nós com 2 CPUs e 4 GB disponíveis.
Use as instruções a seguir para substituir o pool de nós em seu cluster por um que tenha CPU e recursos de memória suficientes para o AI Platform Pipelines.
Abra os clusters do Google Kubernetes Engine no console do Google Cloud .
Clique no nome do cluster. Os detalhes do cluster serão exibidos.
Na barra de ferramentas do GKE, clique em Adicionar pool de nós. O formulário Adicionar um novo pool de nós será aberto.
Forneça as seguintes informações no formulário Adicionar um novo pool de nós.
- Número de nós: especifique o número de nós no seu pool de nós. O cluster precisa ter três ou mais nós para instalar pipelines do Kubeflow usando o Google Cloud Marketplace.
Tipo de máquina: especifique o tipo de máquina do Compute Engine para usar em instâncias no pool de nós. Selecione um tipo de máquina com pelo menos 2 CPUs e 4 GB de memória, como
n1-standard-2
.Escopos de acessos: clique em Permitir acesso total a todas as APIs do Cloud nos Escopos de acesso.
Caso contrário, configure o pool de nós conforme preferir. Saiba mais sobre como adicionar pools de nós a um cluster (em inglês).
Clique em Criar pool de nós. A criação do pool de nós leva vários minutos.
Para cada pool de nós na seção Pool de nós, exceto para o pool de nós criado na etapa anterior, clique em
excluir. A caixa de diálogo Excluir um pool de nós será exibida para confirmar se você quer excluir este pool de nós.Clique em Delete. A exclusão do pool de nós leva vários minutos.
Depois de excluir os pools de nós antigos, verifique se o cluster tem recursos e acesso suficientes para instalar os pipelines do Kubeflow a partir do Google Cloud Marketplace.
Conceda ao cluster do GKE acesso aos recursos e APIs do Google Cloud
Existem três maneiras de conceder aos seus pipelines de ML acesso aos recursos e às APIs do Google Cloud:
- Conceda ao cluster do Google Kubernetes Engine acesso total a todas as APIs do Google Cloud . Saiba como configurar o cluster com acesso total aos recursos Google Cloud no seu projeto.
- Conceda ao cluster do Google Kubernetes Engine acesso granular às APIs do Google Cloudusando uma conta de serviço. Saiba como configurar o cluster com acesso granular aos recursos Google Cloud do.
- Conceda ao cluster do GKE acesso ao uso de contas de serviço armazenadas como secrets do Kubernetes. Saiba mais sobre como conceder aos pipelines acesso aos recursos do Google Cloud com um secret do Kubernetes.
Ao implantar o AI Platform Pipelines, você precisa conceder ao cluster do GKE acesso total aos recursos e APIs do Google Cloud ou conceder ao cluster acesso a Google Cloud usando uma conta de serviço.
Como configurar o cluster do GKE com acesso total às APIs do Google Cloud
Para facilitar o acesso dos pipelines de ML e outras cargas de trabalho do cluster do GKE aos recursos do Google Cloud do projeto, configure o cluster para o escopo de acesso https://www.googleapis.com/auth/cloud-platform
. Esse escopo de acesso fornece acesso total aos recursos e às APIs do Google Cloud ativados no projeto. Se a concessão desse escopo de acesso
fornecer acesso excessivo ao Google Cloud, configure o acesso granular usando uma
conta de serviço.
Use as instruções a seguir para substituir o pool de nós do cluster por um que permita que todas as cargas de trabalho nesse cluster acessem todas as APIs do Google Cloud que estão ativadas no projeto. Antes de alterar o cluster do GKE, discuta essas alterações com o administrador do GKE.
Abra os clusters do Google Kubernetes Engine no console do Google Cloud .
Clique no nome do cluster. Os detalhes do cluster serão exibidos.
Na barra de ferramentas do GKE, clique em Adicionar pool de nós. O formulário Adicionar um novo pool de nós será aberto.
Forneça as seguintes informações no formulário Adicionar um novo pool de nós.
- Número de nós: especifique o número de nós no seu pool de nós. O cluster precisa ter três ou mais nós para instalar pipelines do Kubeflow usando o Google Cloud Marketplace.
Tipo de máquina: especifique o tipo de máquina do Compute Engine para usar em instâncias no pool de nós. Selecione um tipo de máquina com pelo menos 2 CPUs e 4 GB de memória, como
n1-standard-2
.Escopos de acessos: clique em Permitir acesso total a todas as APIs do Cloud nos Escopos de acesso.
Caso contrário, configure o pool de nós conforme preferir. Saiba mais sobre como adicionar pools de nós a um cluster (em inglês).
Clique em Criar pool de nós. A criação do pool de nós leva vários minutos.
Para cada pool de nós na seção Pool de nós, exceto para o pool de nós criado na etapa anterior, clique em
excluir. A caixa de diálogo Excluir um pool de nós será exibida para confirmar se você quer excluir este pool de nós.Clique em Delete. A exclusão do pool de nós leva vários minutos.
Depois de excluir os pools de nós antigos, verifique se o cluster tem recursos e acesso suficientes para instalar os pipelines do Kubeflow a partir do Google Cloud Marketplace.
Como configurar o cluster do GKE com acesso granular às APIs do Google Cloud
Use as instruções a seguir para configurar uma conta de serviço do cluster do GKE e substituir o pool de nós do cluster por um que use a conta de serviço. Ao criar uma conta de serviço, você pode gerenciar de forma granular quais Google Cloud recursos as cargas de trabalho no cluster têm acesso. Antes de alterar o cluster do GKE, discuta essas alterações com o administrador do GKE.
Abra uma sessão do Cloud Shell.
O Cloud Shell é aberto em um frame na parte de baixo do console do Google Cloud .
Execute os comandos a seguir no Cloud Shell para criar sua conta de serviço e conceder a ela acesso suficiente para executar o AI Platform Pipelines. Saiba mais sobre os papéis necessários para executar o AI Platform Pipelines com uma conta de serviço gerenciada pelo usuário.
export PROJECT=PROJECT_ID
export SERVICE_ACCOUNT=SERVICE_ACCOUNT_NAME
gcloud iam service-accounts create $SERVICE_ACCOUNT \ --display-name=$SERVICE_ACCOUNT \ --project=$PROJECT
gcloud projects add-iam-policy-binding $PROJECT \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT.iam.gserviceaccount.com" \ --role=roles/logging.logWriter
gcloud projects add-iam-policy-binding $PROJECT \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT.iam.gserviceaccount.com" \ --role=roles/monitoring.metricWriter
gcloud projects add-iam-policy-binding $PROJECT \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT.iam.gserviceaccount.com" \ --role=roles/monitoring.viewer
gcloud projects add-iam-policy-binding $PROJECT \ --member="serviceAccount:$SERVICE_ACCOUNT@$PROJECT.iam.gserviceaccount.com" \ --role=roles/storage.objectViewer
Substitua:
- SERVICE_ACCOUNT_NAME: o nome da conta de serviço a ser criada
- PROJECT_ID: o projeto do Google Cloud em que a conta de serviço é criada.
Conceda à conta de serviço acesso a todos os recursos ou APIs do Google Cloud que os pipelines de ML exigem. Saiba mais sobre os papéis do Identity and Access Management e como gerenciar contas de serviço.
Conceda à conta de usuário o papel "Usuário da conta de serviço" (
iam.serviceAccountUser
) na conta de serviço.gcloud iam service-accounts add-iam-policy-binding \ "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" \ --member=user:USERNAME \ --role=roles/iam.serviceAccountUser
Substitua:
- SERVICE_ACCOUNT_NAME: o nome da conta de serviço
- PROJECT_ID: seu Google Cloud .
- USERNAME: seu nome de usuário no Google Cloud.
Abra os clusters do Google Kubernetes Engine no console do Google Cloud .
Clique no nome do cluster. Os detalhes do cluster serão exibidos.
Na barra de ferramentas do GKE, clique em Adicionar pool de nós. O formulário Adicionar um novo pool de nós será aberto.
Forneça as seguintes informações no formulário Adicionar um novo pool de nós.
- Número de nós: especifique o número de nós no seu pool de nós. O cluster precisa ter três ou mais nós para instalar pipelines do Kubeflow usando o Google Cloud Marketplace.
Tipo de máquina: especifique o tipo de máquina do Compute Engine para usar em instâncias no pool de nós. Selecione um tipo de máquina com pelo menos 2 CPUs e 4 GB de memória, como
n1-standard-2
.Conta de serviço: selecione a conta de serviço que você criou em uma etapa anterior.
Caso contrário, configure o pool de nós conforme preferir. Saiba mais sobre como adicionar pools de nós a um cluster (em inglês).
Clique em Criar pool de nós. A criação do pool de nós leva vários minutos.
Para cada pool de nós na seção Pool de nós, exceto para o pool de nós criado na etapa anterior, clique em
excluir. A caixa de diálogo Excluir um pool de nós será exibida para confirmar se você quer excluir este pool de nós.Clique em Delete. A exclusão do pool de nós leva vários minutos.
Depois de excluir os pools de nós antigos, verifique se o cluster tem recursos e acesso suficientes para instalar os pipelines do Kubeflow a partir do Google Cloud Marketplace.
Use um segredo do Kubernetes para conceder ao cluster acesso aos recursos e APIs do Google Cloud
Os pipelines desenvolvidos usando o operador use_gcp_secret
no SDK de pipelines do Kubeflow são autenticados para recursos doGoogle Cloud usando uma chave secreta do Kubernetes.
Use estas instruções para criar uma conta de serviço, conceder a ela acesso aos recursos usados pelos pipelines e adicioná-la ao cluster como um secret do Kubernetes.
Abra os clusters do Google Kubernetes Engine no console do Google Cloud .
Na linha do cluster, localize o nome e a zona do cluster.
Abra uma sessão do Cloud Shell.
O Cloud Shell é aberto em um frame na parte de baixo do console do Google Cloud . Use o Cloud Shell para concluir o restante deste processo.
Defina as seguintes variáveis de ambiente.
export PROJECT_ID=PROJECT_ID
export ZONE=ZONE
export CLUSTER=CLUSTER_NAME
export NAMESPACE=NAMESPACE
export SA_NAME=SERVICE_ACCOUNT_NAME
Substitua:
- PROJECT_ID: o projeto do Google Cloud em que o cluster do GKE foi criado.
- ZONE: a zona do em que o cluster do GKE foi criado.
- CLUSTER_NAME: o nome do cluster do GKE
NAMESPACE: o namespace no cluster do GKE onde o Kubeflow Pipelines está instalado.
Os namespaces são usados para gerenciar recursos em grandes clusters do Kubernetes. Se o cluster não usar namespaces, insira default como kubernetes-namespace.
SERVICE_ACCOUNT_NAME: o nome da conta de serviço a ser criada para o cluster de pipelines do Kubeflow acessar Google Cloud recursos e APIs.
Crie uma conta de serviço para o cluster.
gcloud iam service-accounts create $SA_NAME \ --display-name $SA_NAME --project "$PROJECT_ID"
Para conceder à sua conta de serviço acesso aos recursos do Google Cloud , vincule os papéis do Identity and Access Management à conta de serviço. Use as instruções a seguir para conceder papéis do IAM à sua conta de serviço. Execute esse comando uma vez para cada papel que quer conceder à conta de serviço.
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member=serviceAccount:$SA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --role=iam-role
iam-role: o papel do IAM a ser concedido à conta de serviço. Por exemplo, roles/storage.admin concede controle total dos intervalos e objetos do Cloud Storage no seu projeto.
Para saber mais sobre papéis do IAM, leia o guia para entender os papéis do IAM.
Crie uma chave privada para sua conta de serviço no diretório atual.
gcloud iam service-accounts keys create ./service-account-key.json \ --iam-account $SA_NAME@$PROJECT_ID.iam.gserviceaccount.com
Configure
kubectl
para se conectar ao cluster. Em seguida, crie o secret do Kubernetes user-gcp-sa.gcloud container clusters get-credentials "$CLUSTER" --zone "$ZONE" \ --project "$PROJECT_ID"
kubectl create secret generic user-gcp-sa \ --from-file=user-gcp-sa.json=./service-account-key.json \ -n $NAMESPACE --dry-run -o yaml | kubectl apply -f -
Apague a chave privada da conta de serviço.
rm ./service-account-key.json